基于行为监测的Anti-R_Bootkit的研究与实现.docVIP

中国科学技术大学 硕士学位论文 University of Science and Technology of China A thesis for master’s degree 基于行为监测的 A N T I - R / B O O T K I T 的 研究与实现 十一系 李月锋 中国科学技术 大学 中国科学技术大学学位论文原创性和授权使用声明 本人声明所呈交的学位论文,是本人在导师指导下进行研究工作所取得的成果。除已特别加以标注和致谢的地方外，论文中不包含任何他人已经发表或撰写过的研究成果。与我一同工作的同志对本研究所做的贡献均已在论文中作了明确的说明。 本人授权中国科学技术大学拥有学位论文的部分使用权，即：学校有权按有关规定向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅，可以将学位论文编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 保密的学位论文在解密后也遵守此规定。 作者签名：___________ 年 月 日 摘要 Rootkit是一种新型的恶意程序程序或程序集，设计的目的是用来秘密的控制被攻占的计算机的行为。通过隐蔽后门程序或其他类似的工具程序，使得这些工具程序能在指定计算机上长期非法存在；同时当用户查询计算机的当前状况时，通过隐藏相关信息的方法来欺骗用户，使用户相信此计算机未受到侵害。Bootkit是继承自Rootkit内核权限获取和自我痕迹擦除技术的Rootkit高级发展形式，对系统启动和内核准入安全提出了最新挑战。由于Rootkit/Bootkit（R/Bootkit）属于信息安全攻防的新型技术亮点和潜在的危险变种，当前业界和学术界竞相公布出各自富有特色研究项目。 本文的主要工作和特色如下： B/Rootkit行为剖析以及预防监测的技术瓶颈的提出 深入探索当前主流B/Rootkit的危害原理以及技术要点实现，以及主流Anti-R/Bootkit在行为判断上过多依赖用户选择的现状，指出了恶意进驻内核这个行为特征提取是Bootkti/Rootkit防范与检测的技术瓶颈。 行为特征的形式化描述语言的提出 为了统一且完整描述R/Bootkit的各种行为以及子行为彼此间内在的关联关系，我们定义出形式化描述语言规范，以描述出该恶意行为特征。 基于恶意进驻内核行为特征的Anti-R/Bootkit原型系统的设计与实现 在此基础上，利用该形式化描述语言规范和行为策略，我们设计并实现了一个基于恶意进驻内核行为特征的Anti-R/Bootkit原型系统。在和同类商业化的Anti-R/Bootkit系统的比较中，显示出较优的自主识别能力以及较好的未知R/Bootkit预防能力。 本文最后提出了R/Bootkit和Anti-R/Bootkit对抗中新的发展趋势，并介绍了下一步的工作方向。 关键词：Rootkit，Bootkit，行为特征，布控，优先启动，进驻内核，形式化描述，Behavior Detection（BD） *本论文工作得到电子信息产业发展基金（操作系统安全加固软件研发及产业化 文号：财建[2008]329，工信部运[2008]97）的支持，在此表示感谢。 Abstract As a new kind of malware sets, Rootkit has been designed to control the behavior of the hijacked computer secretly. The tool program can survive illegally on the designated computer for a long time through covert backdoors or similar program which can also make the user believe that his computer is away from inbreak by hiding key relative information while the user consults the current status of his computer. As an advanced form of Rootkit inheriting the kernel-level privilege exploitment and self-concealment technology, Bootkit has interposed a new challenge towards system boot and kernel entrance safety. Because Rootkit/Bootkit(R/Boot